Слайд 2Классификация – это важно
Классифика́ция — система — система группировки — система группировки
![Классификация – это важно Классифика́ция — система — система группировки — система](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-1.jpg)
субъектов — система группировки субъектов исследования или наблюдения в соответствии с их общими признаками.
Классификация объектов производится согласно правилам распределения заданного множества объектов на подмножества (классификационные группировки) в соответствии с установленными признаками их различия или сходства
Слайд 3Определение
Определение Евгения Касперского:
ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты
![Определение Определение Евгения Касперского: ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-2.jpg)
(не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера ипрочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
ГОСТ Р 51188-98:
Вирус – программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.
Слайд 4Определение (2)
Вредоносная программа – компьютерная программа или переносной код, предназначенный для реализации
![Определение (2) Вредоносная программа – компьютерная программа или переносной код, предназначенный для](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-3.jpg)
угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС.
Слайд 5Три группы
Вирусы
Трояны
Cетевые черви
![Три группы Вирусы Трояны Cетевые черви](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-4.jpg)
Слайд 6Классификация угроз
Вредоносные программы
![Классификация угроз Вредоносные программы](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-5.jpg)
Слайд 8Жизненный цикл
Жизненный цикл
1. Проникновение на компьютер
2. Активация вируса
3. Поиск объектов для заражения
4.
![Жизненный цикл Жизненный цикл 1. Проникновение на компьютер 2. Активация вируса 3.](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-7.jpg)
Подготовка вирусных копий
5. Внедрение вирусных копий
Слайд 9Проникновение
вместе с зараженными файлами или другими объектами, никак, в отличие от червей,
![Проникновение вместе с зараженными файлами или другими объектами, никак, в отличие от](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-8.jpg)
не влияя на процесс проникновения.
Слайд 10Активация
Загрузочные вирусы – вирусы, заражающие загрузочные сектора постоянных и сменных носителей (Virus.Boot.Snow.a,
![Активация Загрузочные вирусы – вирусы, заражающие загрузочные сектора постоянных и сменных носителей](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-9.jpg)
Virus.Boot.DiskFiller)
Файловые вирусы – вирусы, заражающие файлы. а) Собственно файловые вирусы (Virus.Win9x.CIH)
б) Макровирусы (Macro.Word97.Thus)
в) Скриптвирусы (Virus.VBS.Sling)
Слайд 11Поиск жертв
Получив управление, вирус производит разовый поиск жертв, после чего передает управление
![Поиск жертв Получив управление, вирус производит разовый поиск жертв, после чего передает](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-10.jpg)
ассоциированному с ним зараженному объекту (Virus.Multi.Pelf.2132)
Получив управление, вирус так или иначе остается в памяти и производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняется (Virus.DOS.Anarchy.6093)
Слайд 12Подготовка копий
Технологии маскировки:
Шифрование
Метаморфизм
Результат:
Шифрованный вирус
Метаморфный вирус
Полиморфный вирус (Virus.Win32.Etap)
![Подготовка копий Технологии маскировки: Шифрование Метаморфизм Результат: Шифрованный вирус Метаморфный вирус Полиморфный вирус (Virus.Win32.Etap)](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-11.jpg)
Слайд 13Внедрение
2 метода:
Внедрение вирусного кода непосредственно в заражаемый объект
Замена объекта на вирусную копию.
![Внедрение 2 метода: Внедрение вирусного кода непосредственно в заражаемый объект Замена объекта](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-12.jpg)
Замещаемый объект, как правило, переименовывается (вирус-компаньон Email-Worm.Win32.Stator.a)
Слайд 15Черви
Определение:
Червь (сетевой червь) – тип вредоносных программ, распространяющихся по сетевым каналам, способных
![Черви Определение: Червь (сетевой червь) – тип вредоносных программ, распространяющихся по сетевым](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-14.jpg)
к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.
Слайд 16Жизненный цикл
Жизненный цикл
Проникновение в систему
Активация
Поиск «жертв»
Подготовка копий
Распространение копий
![Жизненный цикл Жизненный цикл Проникновение в систему Активация Поиск «жертв» Подготовка копий Распространение копий](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-15.jpg)
Слайд 17Каналы распространения
По типу используемых протоколов:
Сетевые черви
Почтовые черви
IRC-черви
P2P-черви
IM-черви
![Каналы распространения По типу используемых протоколов: Сетевые черви Почтовые черви IRC-черви P2P-черви IM-черви](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-16.jpg)
Слайд 18Активация
Для активации необходимо активное участие пользователя
Для активации участие пользователя не требуется вовсе
![Активация Для активации необходимо активное участие пользователя Для активации участие пользователя не](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-17.jpg)
либо достаточно лишь пассивного участия
Слайд 19Поиск жертв
На основе используемых протоколов:
Сканирование IP-адресов
Адресная книга почтовых клиентов
Список контактов интернет-пейджеров и
![Поиск жертв На основе используемых протоколов: Сканирование IP-адресов Адресная книга почтовых клиентов](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-18.jpg)
IRС-клиентов
Каталоги общего доступа пиринговых сетей
Слайд 20Подготовка копий
Такие же как и у вирусов.
Наиболее популярный метод:
Упрощенный метаморфизм (черви могут
![Подготовка копий Такие же как и у вирусов. Наиболее популярный метод: Упрощенный](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-19.jpg)
менять тему и текст инфицированного сообщения, имя, расширение и даже формат вложенного файла)
Слайд 22Трояны
Определение:
Троян (троянский конь) – тип вредоносных программ, основной целью которых является вредоносное
![Трояны Определение: Троян (троянский конь) – тип вредоносных программ, основной целью которых](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-21.jpg)
воздействие по отношению к компьютерной системе. Трояны отличаются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты КС, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.
Слайд 23Жизненный цикл
Жизненный цикл
Проникновение на компьютер
Активация
Выполнение заложенных функций
![Жизненный цикл Жизненный цикл Проникновение на компьютер Активация Выполнение заложенных функций](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-22.jpg)
Слайд 24Способы проникновения
Маскировка (Trojan.SymbOS.Hobble.a)
Кооперация с вирусами и червями
![Способы проникновения Маскировка (Trojan.SymbOS.Hobble.a) Кооперация с вирусами и червями](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-23.jpg)
Слайд 25Активация
Тоже что и у червей:
Для активации необходимо активное участие пользователя
Для активации участие
![Активация Тоже что и у червей: Для активации необходимо активное участие пользователя](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-24.jpg)
пользователя не требуется вовсе либо достаточно лишь пассивного участия
Слайд 26Функционал
Клавиатурные шпионы (Keylogger)
Похитители паролей (Trojan-PSW)
Утилиты удаленного управления (Backdoor)
Анонимные smtp-сервера и прокси (Trojan-Proxy)
Утилиты
![Функционал Клавиатурные шпионы (Keylogger) Похитители паролей (Trojan-PSW) Утилиты удаленного управления (Backdoor) Анонимные](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-25.jpg)
дозвона (Trojan-Dialer)
Модификаторы настроек браузера (Trojan-Clicker, Trojan-StartPage)
Логические бомбы (Virus.Win9x.CIH, Macro.Word97.Thus)
Слайд 29Правила именования
Behaviour.OS.Name[.Variant..]
Behaviour ‑ определяет поведение детектируемого объекта. Для вирусов и червей поведение определяется по
![Правила именования Behaviour.OS.Name[.Variant..] Behaviour ‑ определяет поведение детектируемого объекта. Для вирусов и](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/376720/slide-28.jpg)
способу распространения, для троянских программ и malicious tools поведение определяется по совершаемым ими несанкционированным пользователем действиям. Для PUP- по функциональному назначению детектируемого объекта.
OS ‑ операционная система, под которой выполняется вредоносный или потенциально-нежелательный программный код.
Name ‑ имя детектируемого объекта, позволяет выделять семейства детектируемых объектов.
Variant ‑ модификация детектируемого объекта. Может содержать как цифровое обозначение версии программы, так и буквенное обозначение, начиная с ‘.a’: ‘a’ ‑ ‘z’, ‘aa’ ‑ ‘zz’, ...
*Variant не является обязательным в имени и может отсутствовать